lsass.exe」プロセスはWindowsが正常に機能するために重要であり、どのような形であれ変更するべきではありません。しかし、マルウェアは、正規のファイルに感染して増殖したり、ユーザーを欺いて実行させるために正規のファイルを装ったりすることが知られています。この記事では、「Isass.exe」プロセスの機能について説明し、ウイルスに感染しているかどうかを確認する方法を紹介します。

lsass.exe とは何ですか、そして何をするのですか?

“lsass.exe “はWindowsの安全なファイルで、PCの日々の動作に重要な役割を果たしています。セキュリティ ポリシーを実施するために使用され、パスワードの変更やログインの確認に関係します。“lsass.exe “は認証情報をメモリに保存し、ユーザーがドメイン内のサービスに対して認証情報を再入力する必要のないシングルサインインを可能にする。

このサービスは、ドメインコントローラーコンピューター(ネットワークの管理を担当するサーバー)上でも有効です。サーバーコンピューター上では、lsass.exeがパスワードとIDの千単位の保存とリソースアクセスの監視を担当している。その結果、ドメインコントローラーコンピュータでは、このプロセスがより多くのCPU、RAM、IOリソースを使用することがわかります。

それでも、ドメインコントローラーでないコンピューターでは、これほど大きな影響は観察されないはずである。したがって、あなたのコンピュータでプロセスがまだ多くのRAMを使用している場合、何かが間違っている。最もよくあるシナリオは、lsass.exeプロセスと思われていたものが実は違っていたというもので、この場合、ウイルスに感染している可能性が比較的高くなります。

マルウェアは、「lsass.exe」がウイルスではないと思わせるために、頻繁にファイル名を似たようなものに変更します。幸いなことに、本物のWindowsプロセスと複製を見分ける方法があります。

もし、あなたのPCがウイルスに感染することを心配しているなら、マルウェアに見える本物のWindowsプロセスをより多くリストアップしているので、チェックしてみてください。

1. スペルをチェックする

悪意のある「lsass.exe」プロセスは大文字の「i」(アイ)を使っているかもしれませんが、本物のプロセスは小文字の「L」(エル)を使っています。コンピュータの表示方法によっては、名前が似ている場合があり、混同しやすくなっています。

ファイル名が間違っているかどうかは、Microsoft Wordが提供しているような大文字小文字変換ツールを使って確認することができます。

  1. ファイル名をコピーし、ワープロソフトに貼り付ける。
  2. 2.上部のメニューから「大文字小文字の変更」ボタンをクリックし、“UPPERCASE “を選択する。

純正の「lsass.exe」プロセスには他にもバリエーションがあり、それらにも目を向けておくとよいでしょう。

2. その場所を見る

本当の “lsass.exe “ファイルは、1つの場所にしかありません。“C:\WindowsSystem32**” です。もし、他の場所にあったとしても、それは悪意のあるものなので、すぐに削除する必要があります。

タスクマネージャーでこのプロセスを確認すると、どこで実行されているかがわかります。

    1. Ctrl + Alt + Del を押してタスクマネージャーを開き、適切なボタンをクリックします。
    1. “プロセス “の下にあるlsassプロセス(Local Security Authority Process)を見つけるまでスクロールダウンし、それを右クリックして、“ファイルの場所を開く “を選択します。C:\WindowsSystem32” フォルダが開きます。

3. 表示されない場合は、「詳細」タブに切り替えて、そこで「Isass.exe」を検索してください。“ファイルの場所を開く “をクリックする。

4. タスクマネージャの各 “lsass.exe “ファイルに対して、この手順を繰り返してください。プロセスは1つしか表示されないはずですが、それ以上表示される場合は、1つを除いてすべて偽物です。

3. ファイルサイズを確認する

ウイルスやその他の悪意のあるソフトウェアは、マルウェアを配布するためにプログラムサイズのファイルを頻繁に使用するので、「lsass.exe」が本物のサービスであるかどうかは、そのファイルがどのくらいの容量を占めているかを見ることで判断できます。

    1. タスクマネージャで、前項で示した場所にある「Isass.exe」ファイルを開いてください。
    1. ファイルサイズを確認するために、ファイルを右クリックして “プロパティ” を選択します。

3. Windows11版では82KB、Windows10版では57KBになるはずです。まだWindows 8をお使いの方は、このファイルは46KBしかありません。もし、閲覧しているプロセスが数GB以上など、もっと大きい場合は、確実にマイクロソフト純正のファイルではありません。

よくある質問

lsass.exeのRAM使用量の多い問題はどうすれば解決できますか?

もし、純正の「lsass.exe」ファイルが多くのRAMリソースを消費しているようであれば、次のことを試してみてください。

サードパーティのアンチウイルスプログラムをPCにインストールするのは嫌ですか?Windows に内蔵されている Defender を使用すれば、その必要はありません。

lsass.exe ウイルスを除去する方法は?

まず、タスクマネージャに移動します。プロセス」タブで、悪意のある可能性のある “lsass.exe” を選択し、“場所を開く” をクリックします。プロセスが表示されていない場合は、“詳細” タブに切り替えてください。

次に、「タスクマネージャ」に戻り、「lsass.exe」プロセスを右クリックして、「タスクの終了」を選択し、「lsass.exe」ファイルの場所に戻り、削除してください。

本物のlsass.exeプロセスを無効化することはなぜ良くないのですか?

lsass.exeを起動すると、Security Accounts Manager(SAM)が要求を受信する準備ができていることを他のサービスに通知します。このプロセスを無効にすると、システムサービスはSAMの準備ができたときに通知を受け取れなくなり、正しく起動できなくなる可能性があります。

画像引用元:Unsplash。すべてのスクリーンショットはFarhad Pashaeiによるものです。

Akira
Akira
Akiraは情熱的なゲーマーであり、製品レビュアーです。ゲームをしていないときは、最新のゲーミングアクセサリーを試したり、製品のレビューをしていることが多い。彼の分かりやすいスタイルは、ゲーマーが自分のニーズに最も適した製品を簡単に判断できるようにするものです。また、技術的な問題にも精通しており、その解決方法も知っている。